Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

HTML Smuggling — новая угроза для европейской кибербезопасности

04/07/23

images (1)-1

Неизвестная хакерская группировка атаковала министерства иностранных дел и посольства в Европе, используя технику HTML Smuggling для доставки трояна PlugX на заражённые системы. Об этом сообщила компания по кибербезопасности Check Point, которая назвала эту операцию SmugX. По данным исследователей, вредоносная кампания ведется с декабря 2022 года.

«В рамках кампании используются новые методы доставки PlugX, программы-шпиона, которая часто связывается с различными китайскими угрозами», — говорится в отчёте Check Point.

«Хотя сама полезная нагрузка остается похожей на ту, что была в старых версиях PlugX, методы её доставки обеспечивают низкий уровень обнаружения, который до недавнего времени помогал кампании оставаться незамеченной», — добавили специалисты.

Какая группировка ответственена за эту операцию — пока неясно наверняка, однако имеющиеся улики указывают на группировку Mustang Panda, которая также имеет пересечения с другими кластерами угроз, известными как Earth Preta, RedDelta и Camaro Dragon по классификации Check Point. Исследователи также заявили, что на данный момент «недостаточно доказательств» для окончательной атрибуции этого хакерского коллектива, передает Securitylab.

Последняя атака в рамках кампании SmugX примечательна тем, что использовала HTML Smuggling — хитрую технику, при которой киберпреступники злоупотребляют законными возможностями HTML5 и JavaScript для сборки и запуска вредоносного ПО в обманных документах, прикрепленных к фишинговым электронным письмам.

«HTML Smuggling использует атрибуты HTML5, которые могут работать в автономном режиме, храня бинарный файл в неизменяемом блоке данных внутри кода JavaScript. Данные блока или встроенной полезной нагрузки декодируются в файловый объект при открытии через веб-браузер», — отметила Trustwave в феврале этого года.

Анализ документов, которые были загружены в базу данных вредоносного ПО VirusTotal, показывает, что они предназначены для атаки дипломатов и государственных структур в Чехии, Венгрии, Словакии, Великобритании, а также, вероятно, Франции и Швеции.

Многоступенчатый процесс заражения использует уже до боли знакомый метод DLL Sideloading для расшифровки и запуска окончательной полезной нагрузки — PlugX.

PlugX, в свою очередь — это программа-шпион, которая появилась еще в 2008 году и является модульным трояном, способным поддерживать «разнообразные плагины с различными функциональными возможностями», позволяющими своим операторам осуществлять кражу файлов, захват экрана, регистрацию нажатий клавиш и выполнение команд.

«В ходе нашего исследования образцов злоумышленник отправил пакетный скрипт, полученный от C2-сервера, предназначенный для стирания любых следов своей деятельности», — сообщили в Check Point.

«Этот скрипт уничтожает законный исполняемый файл, DLL-загрузчик PlugX и ключ реестра, используемый для сохранения, а затем удаляет сам себя. Вероятно, это результат того, что злоумышленники осознали, что они находятся под пристальным вниманием», — заключили исследователи.

Темы:ПреступленияCheck PointКибератакиHTML
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...